Problem M0n0wall und Safenet SoftremoteLT

O

onegroup

Well-Known Member
Hallo,

ich habe die M0n0 und den Client XP + Safenet SoftRemoteLT nach der Beschreibung aus dem Internet eingerichtet.

http://www.m0n0.com/wall/docbook/faq.html#id2602763

Ich bekomme auch eine Connection successfull.

Leider kann ich nichts anpingen oder aufrufen..

Ich habe einen Laptop der die
192.168.1.40/255.255.255.0 hat

bei M0n0 ist die 10.210.64.0/255.255.255.0/24 eingetragen

Laut Beschreibung sollte es ja sofort gehen oder muss ich noch einen Tunnel einstellen oder eine Firewallrule eintragen?

Hab etliche Versuche gemacht aber nichts klappt :(

Danke schonmal.

Gruss

S.
 
paste doch mal bitte die "logs", bzw. das log window deines softremote clients.

generell wuerde ich "VPN Debugging" als wirklich 'hohe Schule' betrachten... hat mich auch schon viele
schlaflose naechte gekostet....

1. Verwende zum testing erstmal nur PSK (pre shared keys) KEINE CERTS (kannste dann ja machen wenn das 1te klappt)
2. SAEMMLTICHE PERSONAL FIREWALLS DISABLEN (mit N-Fachen Ausrufungszeichen '!')
3. Beim Debugging (siehe logs) immer schoen an den einzelnen "phasen orientieren", logischerweise muss erst die '1. phase(auth)' sauber klappen um ueberhaupt zur 2.(key exchange) zu gelangen (das weiste schonmal an welchen einstellungen es nicht liegt).
4. Einstellungen bei CLIENT UND SERVER sollten mehr oder weniger 100% identisch sein, 10x mal checken, der teufel steckt dort(wie immer) im detail
5. Auch wenn es zu Anfang net so ausschaut, das Softremote Debug Log, gibt (fast) schon genuegen infos um den Fehler sehr genau einzegrenzen.
6. GOTT VERTRAUN !
...
8. Wenn Gott dich im stich laesst, tcpdump (500 udp, "key exchange", und ESP ( ACHTUNG ESP ist ein EIGENSTAENDIGES PROTOCOL, also ein PROTOCOL TYPE, nix IP)
 
onegroup schrieb:
Hallo,
Ich bekomme auch eine Connection successfull.
Leider kann ich nichts anpingen oder aufrufen..
Zum Vergrößern anklicken....

Eine etwas detailiertere Fehlerbeschreibung dürfte den Helfern nützlich sein. Hast Du evt. Traces mit Ethereal oder vergleichbaren Tools durchgeführt? Was sagt die m0n0 Wall Dokumentation/Mailingliste/Supporseite? Zwar basiert m0n0 auf FBSD, jedoch derart stark verändert, dass normales Wissen über FreeBSD nicht ausreicht m0n0 zu begreifen.
 
Illuminatus: bin ich nichtganz deiner meinung, m0n0 (vpn interface) ist nicht anderes als ein WIRKLICH GUTES Frontend fuer setkey/racoon... wenn du die system config files schon mal manuel erstellt und editiert hast, ist dir sehr schnell klar welche einzelnen werte wo im Frontend stehen, und wo diese dann landen....
 
Hallo,


einmal ein aktuelles log

Code: 
 7-15: 12:31:32.546 Filter table loaded.
 7-15: 12:31:38.094 
 7-15: 12:31:38.254 My Connections\M0n0wall - Initiating IKE Phase 1 (IP ADDR=82.xxxxxxx)
 7-15: 12:31:39.025 My Connections\M0n0wall - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
 7-15: 12:31:39.285 My Connections\M0n0wall - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID)
 7-15: 12:31:40.507 My Connections\M0n0wall - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
 7-15: 12:31:40.507 My Connections\M0n0wall - Established IKE SA
 7-15: 12:31:40.507    MY COOKIE fb ad a9 d 22 e4 f0 b4
 7-15: 12:31:40.507    HIS COOKIE 5f ee 9c 66 85 af de 1
 7-15: 12:31:42.210 My Connections\M0n0wall - Initiating IKE Phase 2 with Client IDs (message id: 6730BACA)
 7-15: 12:31:42.210   Initiator = IP ADDR=192.168.1.40, prot = 0 port = 0
 7-15: 12:31:42.210   Responder = IP SUBNET/MASK=10.210.64.0/255.255.255.0, prot = 0 port = 0
 7-15: 12:31:42.210 My Connections\M0n0wall - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
 7-15: 12:31:42.240 My Connections\M0n0wall - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_INITIAL_CONTACT)
 7-15: 12:31:42.370 My Connections\M0n0wall - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
 7-15: 12:31:42.380 My Connections\M0n0wall - Filter entry 3: SECURE  192.168.001.040&255.255.255.255  010.210.064.000&255.255.255.000  082xxxxxxxxx added.
 7-15: 12:31:42.380 My Connections\M0n0wall - SENDING>>>> ISAKMP OAK QM *(HASH)
 7-15: 12:31:42.570 My Connections\M0n0wall - Loading IPSec SA (Message ID = 6730BACA OUTBOUND SPI = D72424F INBOUND SPI = 9632D5D4)
 7-15: 12:31:42.570


Wie schaut es aus, ich habe diesen M0n0 Rechner nur für VPN im Netz. Heisst er ist kein Gateway nach draussen und nimmt auch keine Verbindungen an. ich komme nur per https://10.210.64.200 auf die admin oberfläche.

PPTP ist eingerichtet und funktioniert auch drüber. Dazu musste ich allerdings eine Rule in der Fw anlegen.

Ist das bei IPSec auch der Fall?

Sorry aber mir scheint ich kriege über den Tunnel gar keine Antworten.

Gruss

S.
 
Hallo,

nachdem das Thema etwas älter ist und ich gestern die aktuelle M0n0wall installiert habe wollte ich es nochmal mit Mobile Clients probieren da wir VPN langsam brauchen.

Alles wurde wie oben geschrieben eingerichtet.

Im Internen Firmennetzwerk komme ich unter Angabe des externen Gateways (82.xx.xx.xx) auf den VPN siehe .log

10.210.64.82 -> FW (82.xx.xx.01) -> VPN (82.xx.xx.02)

Code: 
 4-18: 07:15:38.312 SafeNet VPN Client Version 10.3.3 (Build 4).
 4-18: 07:15:39.718 Interface added: 10.210.64.82/255.255.255.0 on LAN "Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC".
 4-18: 07:15:39.921 Filter table loaded.
 4-18: 07:23:34.828 
 4-18: 07:23:34.860 My Connections\AXIS - Initiating IKE Phase 1 (IP ADDR=82.xx.xx.xx)
 4-18: 07:23:35.110 My Connections\AXIS - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
 4-18: 07:23:35.266 My Connections\AXIS - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID)
 4-18: 07:23:35.266 My Connections\AXIS - Peer supports Dead Peer Detection Version 1.0
 4-18: 07:23:35.266 My Connections\AXIS - Dead Peer Detection enabled
 4-18: 07:23:35.578 My Connections\AXIS - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
 4-18: 07:23:35.578 My Connections\AXIS - Established IKE SA
 4-18: 07:23:35.578    MY COOKIE fc 5c e5 63 90 92 1a 93
 4-18: 07:23:35.578    HIS COOKIE 3c a6 ad ec 4a 64 dc 24
 4-18: 07:23:35.891 My Connections\AXIS - Initiating IKE Phase 2 with Client IDs (message id: 873AB585)
 4-18: 07:23:35.891   Initiator = IP ADDR=10.210.64.82, prot = 0 port = 0
 4-18: 07:23:35.891   Responder = IP SUBNET/MASK=192.168.0.0/255.255.255.0, prot = 0 port = 0
 4-18: 07:23:35.891 My Connections\AXIS - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
 4-18: 07:23:35.907 My Connections\AXIS - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_INITIAL_CONTACT)
 4-18: 07:23:35.985 My Connections\AXIS - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
 4-18: 07:23:35.985 My Connections\AXIS - Filter entry 3: SECURE  010.210.064.082&255.255.255.255  192.168.000.000&255.255.255.000  082.xx.xx.xx added.
 4-18: 07:23:35.985 My Connections\AXIS - SENDING>>>> ISAKMP OAK QM *(HASH)
 4-18: 07:23:36.032 My Connections\AXIS - Loading IPSec SA (Message ID = 873AB585 OUTBOUND SPI = 4109A15 INBOUND SPI = 19DB123E)
 4-18: 07:23:36.032

Soweit so gut, dann dachte ich es sollte von zuhause auch gehen. Aber da bekomme ich nur Meldungen das die Verbindung nicht klappt.

M0n0 Log:

Code: 
Apr 17 16:13:18 	racoon: INFO: respond new phase 1 negotiation: 82.xx.xx.xx[500]<=>87.174.227.154[500]
Apr 17 16:13:18 	racoon: INFO: begin Aggressive mode.
Apr 17 16:13:18 	racoon: INFO: received Vendor ID: DPD
Apr 17 16:13:18 	racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Apr 17 16:13:18 	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
Apr 17 16:13:18 	racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Apr 17 16:13:33 	racoon: NOTIFY: the packet is retransmitted by 87.174.227.154[500].
Apr 17 16:13:48 	racoon: NOTIFY: the packet is retransmitted by 87.174.227.154[500].
Apr 17 16:14:08 	racoon: ERROR: sendfromto failed
Apr 17 16:14:18 	racoon: ERROR: phase1 negotiation failed due to time up. ba6b53d9f2582eb8:b02ba89b64e7c356

Soweit ich sehe geht er ja in den Agressive Mode und dann ist Schluss.

Ich habe heute früh in der Monowall unter Firewall WAN ESP und AH freigegeben. Daran sollte es aber nicht liegen oder?

Ich bin echt am verzweifelt.

Viele Grüße

Steffen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben